Découvrez l’actualité Sécurité de la semaine avec la newsletter Adacis:

Au menu:

---

 #veille: La sécurité & Docker

• Guide de mesures de sécurité pour Docker

« If you’re unsure of how to secure Docker for your organisation (given that security wasn’t part of its design), I thought it would be useful to itemise some of the ways in which you can reduce or help manage the risk of running it. »

• Docker Bench Security (github)

« The Docker Bench for Security is a script that checks for all the automatable tests included in the CIS Docker 1.6 Benchmark.
https://dockerbench.com »

• Kali Linux pour Docker: Deploy and Play!

« The Developers of one of the most advanced open source operating system for penetration testing called ‘KALI Linux’ have made the operating system available for Docker-addicted system administrators. »

---

L’actualité marquante

• Vol de données : la facture grimpe pour les entreprises françaises

« Dans une étude réalisée pour le compte d’IBM, le coût moyen des vols de données en 2015 a progressé pour atteindre 3,79 millions de dollars par entreprise. La France n’échappe pas à cette tendance en étant une cible privilégiée. »

• Les derniers use-after-free de Flash se retrouvent dans les exploit kits

« Recently, several popular exploit kits, including Angler, Flash EK, SweetOrange, Fiesta andNeutrino, have included several use-after-free (UAF) vulnerabilities in Adobe Flash to exploit victims’ browsers. Previously, these exploit kits typically used out-of-bounds access (OBA) vulnerabilities in Adobe Flash, as these types of vulnerabilities can be exploited universally and stably, and require less effort to exploit compared to UAF vulnerabilities. In order to detect these newly added UAF vulnerabilities, we analyzed the code found in the exploit kits to determine which vulnerabilities are present and how they are exploited. »

• La perpétuité pour Ross Ulbricht, le créateur de Silk Road

« L’informaticien Ross Ulbricht n’a bénéficié d’aucune clémence de la part du tribunal et a écopé de la peine maximale, sans possibilité de libération. Le baron de la drogue va finir sa vie en prison. »

• Une attaque à grande échelle utilisant des navigateurs pour pirater des routeurs

« Cybercriminals have developed a Web-based attack tool to hijack routers on a large scale when users visit compromised websites or view malicious advertisements in their browsers. »

• Hola, le VPN qui propose l’accès Internet de ses clients aux cybercriminels

« Les utilisateurs de ce VPN peer-to-peer découvrent avec stupeur que ce fournisseur revend à prix d’or leur bande passante non utilisée à des tiers parfois pas très catholiques.« 

• Comme en 2013, la réception de ce nouveau SMS spécifique redémarrera votre iPhone

« A bug affecting the Messages app allows a string of characters sent to a person via iMessage or SMS to crash an iPhone and cause the Messages app to crash »

• Skype poursuivi par la justice belge pour avoir refusé de fournir à la police certains appels

« Skype has been called to appear before a court in Belgium after refusing to hand over customer data following a request for assistance in a criminal investigation. »

• Tox, le kit de création de ransomwares

« McAfee discovered in the Deep Web a ransomware-construction kits that allow easy to build malware in just 3 steps, implementing an interesting model of sale. »

• Des données très…. personnelles de 4 millions d’utilisateurs d’AdultFriendFinder se retrouvent en vente sur le deepweb

« Email addresses, sexual orientations, and other sensitive details from about 3.9 Million Adult Friend Finder online hookup service are currently available for sale for 70 Bitcoins (around $16,800/€15,300) on an underground website. »

• « Windows et Mac OSX sont des malwares » – Richard Stallman (Mai 2015)

« Linux GNU firebrand Richard Stallman says Windows and Apple’s OS X are malware, Amazon is Orwellian, and anyone who trusts the internet-of-things is an ass. »

• « Introduction à la sécurité SCADA » par Jean-Christophe Baptiste

« Scada, Stuxnet… Des mots qui ont largement fait le « buzz » depuis 2010, et continuent à faire froid dans le dos puisqu’ils font écho aux menaces sur les environnements informatiques industriels. Mais au-delà du bruit médiatique, de quoi s’agit-il exactement ? »

---

Les autres nouvelles de la semaine

• L’application Synology Photo Station vulnérable à de l’injection de commandes

• Analyse d’un code PHP s’apparentant à un serveur C&C de Botnets sur WordPress

• 5 tips for keeping your incident response team happy

• De fausses applications pour Minecraft trompent des millions d’utilisateurs sur le playstore

• Le compilateur GCC 5.1 : harder, better, faster, stronger

• Q1 2015 State of the Internet Security Report Released